Di era ketidakpastian yang semakin kompleks, organisasi—termasuk badan usaha milik negara (BUMN)—dituntut untuk mampu mengelola risiko secara sistematis dan terukur. Kerangka ISO 31000 menjadi salah satu acuan penting yang dapat membantu suatu organisasi mengintegrasikan manajemen risiko ke seluruh level, mulai dari strategi hingga operasional. Bagi BUMN, penerapan ISO 31000 bukan sekadar pemenuhan regulasi, tetapi juga langkah strategis untuk menjaga keberlanjutan, reputasi, dan daya saing organisasi.
Mengapa ISO 31000 Penting untuk BUMN
Definisi dan ruang lingkup ISO 31000
ISO 31000 adalah standar internasional yang memberikan kerangka kerja efektif untuk mengelola risiko — baik risiko negatif maupun peluang (positive risk) — secara sistematis dan terintegrasi dalam organisasi. Dalam konteks BUMN, definisi risiko menurut ISO 31000 sebagai “efek ketidakpastian terhadap pencapaian sasaran” sangat relevan karena BUMN beroperasi dalam lingkungan yang kompleks dan regulatif.
Manfaat penerapan ISO 31000 pada BUMN
Implementasi manajemen risiko berbasis ISO 31000 pada BUMN membawa berbagai manfaat, antara lain:
Meningkatkan keberlanjutan operasional: dengan sistem manajemen risiko yang memadai, BUMN mampu mengantisipasi gangguan operasional yang mungkin muncul.
Melindungi aset strategis dan reputasi: BUMN memiliki aset publik dan sosial yang besar; manajemen risiko membantu meminimalkan dampak negatif terhadap reputasi.
Mendukung pengambilan keputusan yang lebih baik: dengan identifikasi dan analisis risiko, keputusan strategis dan operasional dapat lebih berbasis data dan pertimbangan risiko.
Memastikan kepatuhan terhadap regulasi dan standar: banyak BUMN harus beroperasi dalam kerangka regulasi yang ketat — penerapan ISO 31000 membantu dalam pemenuhan regulasi terkait manajemen risiko.
Keterkaitan regulasi BUMN dan ISO 31000
Penerapan ISO 31000 di lingkungan BUMN di Indonesia juga mendapatkan dukungan regulasi, seperti Peraturan Menteri BUMN No. PER‑5/MBU/09/2022 tentang penerapan manajemen risiko di BUMN. Artikel mencatat bahwa standar SNI ISO 31000 (adopsi nasional ISO 31000) sangat relevan untuk mendukung regulasi tersebut. Dengan demikian, penerapan ISO 31000 bukan hanya sebagai pilihan best practice, tetapi juga sebagai bentuk kepatuhan terhadap regulasi sektor publik/BUMN.
Kerangka Kerja ISO 31000 untuk BUMN
Prinsip-prinsip manajemen risiko
Salah satu fondasi dari ISO 31000 adalah prinsip-prinsip manajemen risiko yang efektif. Beberapa prinsip esensial antara lain:
Risiko harus dikelola secara integratif, terstruktur dan komprehensif.
Fokus pada penciptaan dan perlindungan nilai.
Konteks organisasi harus dipahami (konteks internal dan eksternal).
Kepemimpinan dan komitmen dari top management.
Proses harus bersifat dinamis dan berkelanjutan — termasuk pemantauan, review, dan perbaikan.
Desain kerangka kerja manajemen risiko
Menurut ISO 31000, kerangka kerja manajemen risiko terdiri dari sejumlah komponen yang saling berhubungan. Salah satu referensi menyebutkan komponen kerangka sebagai berikut: Kepemimpinan & komitmen, integrasi, desain, implementasi, evaluasi, perbaikan. Table berikut merangkum elemen-utama dari kerangka kerja tersebut:
| Komponen Kerangka Kerja | Deskripsi Singkat |
|---|---|
| Kepemimpinan dan Komitmen | Top management menetapkan mandat, kebijakan, wewenang, tanggung jawab. |
| Integrasi | Manajemen risiko terintegrasi dalam tata kelola dan proses organisasi secara keseluruhan. |
| Desain | Organisasi memahami konteks, menetapkan kebijakan, menetapkan struktur, alokasi sumber daya. |
| Implementasi | Pelaksanaan proses manajemen risiko dalam kegiatan sehari-hari. |
| Evaluasi | Penilaian efektivitas kerangka kerja dan proses manajemen risiko secara periodik. |
| Perbaikan | Adaptasi dan perbaikan berkelanjutan berdasarkan hasil evaluasi, perubahan lingkungan internal/eksternal. |
Integrasi kerangka kerja ISO 31000 dengan BUMN
Untuk BUMN, mengintegrasikan kerangka kerja ISO 31000 berarti menempatkan manajemen risiko sebagai bagian yang tak terpisahkan dari tata kelola (governance), operasional, strategi dan pengendalian intern. Misalnya, regulasi BUMN mengatur bahwa manajemen risiko adalah bagian dari pengendalian intern dan tata kelola terintegrasi. Hal ini menunjukkan bahwa BUMN perlu memastikan kerangka kerja manajemen risiko tidak berdiri sendiri, tetapi menyatu dengan sistem pengendalian, komite audit, unit manajemen risiko, dan unit operasional.
Proses Manajemen Risiko Strategis dan Operasional di BUMN
Tahapan proses menurut ISO 31000
Proses manajemen risiko dalam ISO 31000 mencakup sejumlah tahapan kunci seperti: komunikasi & konsultasi, penetapan konteks/lingkup/kriteria, identifikasi risiko, analisis risiko, evaluasi risiko, penanganan risiko, pemantauan & review serta pencatatan dan pelaporan.
Berikut uraian ringkas setiap tahapan:
Komunikasi dan Konsultasi – Mengajak pemangku kepentingan relevan untuk memahami risiko dan konteksnya.
Penetapan Lingkup, Konteks & Kriteria Risiko – Menentukan ruang lingkup manajemen risiko (strategi – operasional), kondisi internal/eksternal, dan kriteria untuk menilai risiko (misalnya toleransi, keparahan, probabilitas).
Identifikasi Risiko – Menemukan potensi peristiwa yang dapat memengaruhi pencapaian sasaran.
Analisis Risiko – Menilai kemungkinan dan dampak dari risiko-teridentifikasi, dan mempertimbangkan kontrol yang ada.
Evaluasi Risiko – Membandingkan hasil analisis dengan kriteria risiko untuk memutuskan mana yang membutuhkan penanganan.
Penanganan Risiko – Merumuskan dan melaksanakan strategi pengendalian seperti mitigasi, akselerasi peluang, transfer, atau penerimaan risiko.
Pemantauan & Review – Meninjau secara berkala proses/kerangka kerja manajemen risiko agar tetap relevan terhadap perubahan internal/eksternal.
Pencatatan & Pelaporan – Mendokumentasikan aktivitas manajemen risiko dan melaporkannya kepada pihak yang berwenang (Dewan Komisaris, Direksi, Komite Manajemen Risiko).
Pengelolaan Risiko Strategis di BUMN
Risiko strategis mencakup potensi hambatan atau peluang yang terkait dengan pencapaian sasaran jangka panjang BUMN — seperti perubahan regulasi, persaingan bisnis, transformasi digital, reputasi publik, atau perubahan kondisi makro ekonomi.
Langkah-langkah pengelolaan risiko strategis di BUMN:
Memahami visi, misi, dan sasaran strategis BUMN.
Melakukan penilaian konteks eksternal (regulasi, industri, teknologi, sosial) dan internal (kapabilitas, budaya, tata kelola).
Identifikasi risiko strategis—contoh: kegagalan adaptasi digitalisasi, gangguan rantai pasok utama, perubahan kebijakan pemerintah, krisis reputasi.
Analisis dan evaluasi risiko strategis: menilai probabilitas dan dampak terhadap sasaran strategis.
Penanganan risiko strategis: misalnya menetapkan strategi diversifikasi, membentuk aliansi, meningkatkan kapabilitas inovasi, memperkuat tata kelola.
Pemantauan dan review secara periodik: melihat apakah sasaran strategis masih relevan, apakah risiko telah berubah.
Pengelolaan Risiko Operasional di BUMN
Risiko operasional terkait dengan kegagalan atau gangguan dalam aktivitas sehari-hari yang mendukung pencapaian sasaran BUMN—misalnya kegagalan sistem TI, kesalahan manusia, penyimpangan proses bisnis, kecelakaan operasional, fraud, dan lain-lain.
Langkah-langkah praktis pengelolaan risiko operasional:
Menetapkan daftar unit operasional dan proses kritikal (misalnya produksi, distribusi, layanan publik).
Identifikasi risiko operasional per unit/process: misalnya kegagalan sistem, kesalahan input data, pelanggaran keamanan siber, kegagalan pengendalian internal.
Analisis dan evaluasi risiko operasional dengan mempertimbangkan kontrol yang ada (existing controls) dan gap-nya.
Penanganan risiko operasional: misalnya memperkuat kontrol manual, otomatisasi sistem, audit internal, pelatihan karyawan, mekanisme pemulihan bencana.
Pemantauan dan pelaporan: misalnya KPI kegagalan proses, jumlah insiden, tren kesalahan, laporan ke Komite Risiko dan Direksi.
Sinergi Pengelolaan Risiko Strategis dan Operasional
Walaupun risiko strategis dan operasional berbeda kategori, namun dalam organisasi BUMN keduanya saling terkait. Risiko strategis seringkali muncul akibat akumulasi dari risiko operasional, dan pengelolaan operasional yang buruk dapat merusak pencapaian strategi organisasi. Oleh sebab itu, kerangka ISO 31000 yang menyeluruh memungkinkan integrasi antara level strategis dan operasional.
Contoh nyata: jika sebuah BUMN energi menghadapi risiko kegagalan strategi transisi energi (risiko strategis), hal itu bisa disebabkan oleh kurangnya kapabilitas operasional dalam proyek energi terbarukan (risiko operasional). Maka, penanganan manajemen risiko harus mempertimbangkan dua aspek: level strategi dan level proses/operasi.
Judul Artikel Terkait Penerapan ISO 31000 dalam Pengelolaan Risiko Strategis dan Operasional BUMN
Strategi Identifikasi dan Analisis Risiko Operasional di BUMN: Praktik Terbaik
Struktur Organisasi dan Tata Kelola Manajemen Risiko di BUMN: Model Tiga Lini
Pengembangan Budaya Risiko di BUMN: Mengintegrasikan ISO 31000 ke dalam Kehidupan Organisasi
Implementasi Key Risk Indicators (KRI) dan Pelaporan Risiko di BUMN
Studi Kasus: Transformasi Digital dan Risiko Strategis di BUMN – Pembelajaran dari Penerapan ISO 31000
Contoh Kasus Nyata Penerapan ISO 31000 di BUMN
Kasus: Implementasi Sistem Manajemen Risiko di BUMN Energi
Salah satu perusahaan BUMN energi mencatat telah menerapkan sistem manajemen risiko berbasis ISO 31000 sejak tahun 2013 dan memperbarui pedoman manajemen risiko pada 19 Maret 2024 untuk seluruh anak perusahaan.
Beberapa poin pelaksanaan:
Pedoman manajemen risiko (Risk Management Manual) disusun sesuai standar ISO 31000 dan regulasi BUMN.
Identifikasi risiko operasional seperti gangguan suplai, kecelakaan, kerusakan aset utama, dan risiko strategis seperti perubahan kebijakan energi, tekanan lingkungan/regulasi.
Analisis risiko dilakukan dengan menggunakan matriks probabilitas-dampak, dan dilengkapi dengan skor toleransi risiko yang disetujui oleh Direksi.
Pengendalian risiko operasional: peningkatan sistem kontrol preventive maintenance, pelatihan operasional, automatisasi monitoring aset kritis.
Pemantauan dan pelaporan rutin ke Komite Manajemen Risiko dan Direksi, serta review tahunan sesuai kerangka ISO 31000.
Hasil yang dilaporkan meliputi:
Penurunan jumlah insiden operasional kritis (misalnya shutdown tak terencana)
Peningkatan kesiapan organisasi dalam menanggapi perubahan regulasi/extreme event
Peningkatan kesadaran risiko di seluruh level organisasi
Pelajaran yang dapat diambil
Komitmen top management (Direksi, Dewan Komisaris) menjadi kunci agar risiko dikelola secara terintegrasi.
Implementasi tak cukup hanya dokumen/pedoman — harus ada budaya risiko di seluruh level organisasi.
Integrasi risiko strategis dan operasional menghasilkan pengelolaan risiko yang lebih kohesif.
Pemantauan, review, dan perbaikan terus-menerus (continuous improvement) adalah bagian penting dari ISO 31000.
Langkah Praktis untuk BUMN Memulai Penerapan ISO 31000
Berikut ini langkah-praktis yang dapat diikuti BUMN untuk memulai atau meningkatkan penerapan ISO 31000 dalam pengelolaan risiko strategis dan operasional:
Mendapatkan komitmen dan mandat dari top management
Direksi dan Dewan Komisaris menetapkan kebijakan manajemen risiko yang jelas, menunjuk pimpinan risiko atau direktur risiko.
Memastikan alokasi sumber daya (personil, sistem, anggaran) untuk manajemen risiko.
Memahami konteks organisasi (internal dan eksternal)
Identifikasi faktor internal: struktur organisasi, unit bisnis, budaya, proses, kapabilitas.
Identifikasi faktor eksternal: regulasi BUMN, persaingan industri, kondisi ekonomi, faktor sosial & lingkungan.
Tentukan lingkup manajemen risiko: risiko strategis, risiko operasional, reputasi, keuangan, regulasi.
Menetapkan kerangka kerja manajemen risiko sesuai ISO 31000
Merancang sistem yang mencakup prinsip, kerangka, dan proses.
Mendefinisikan struktur organisasi manajemen risiko (misalnya tiga lini: lini pertama unit operasional, lini kedua unit manajemen risiko, lini ketiga pengawas intern).
Menetapkan peran, tanggung jawab, alur pelaporan risiko.
Menyusun proses manajemen risiko operasional dan strategis
Menetapkan kriteria risiko: toleransi, ambang batas, skala keparahan & probabilitas.
Mengidentifikasi risiko di setiap level (strategis/operasional).
Melakukan analisis dan evaluasi risiko.
Menetapkan dan menerapkan penanganan risiko (mitigasi, transfer, penerimaan, penghindaran).
Menyusun sistem pemantauan, review, pelaporan, dan dokumentasi.
Mengembangkan budaya risiko
Pelatihan dan sosialisasi manajemen risiko ke seluruh level organisasi.
Komunikasi dan konsultasi risiko secara berkala dengan pemangku kepentingan internal dan eksternal.
Mendorong unit operasional sebagai pemilik risiko (risk owner) yang aktif.
Pemantauan, review dan continuous improvement
Melakukan audit, review berkala, updating pedoman sesuai perubahan lingkungan.
Memanfaatkan indikator kinerja risiko (Key Risk Indicators – KRI), laporan insiden, serta feedback proses.
Melakukan benchmarking dengan praktik terbaik dan standar internasional.
Tantangan dan Kunci Keberhasilan Penerapan ISO 31000 di BUMN
Tantangan utama
Resistensi budaya organisasi: manajemen risiko sering dianggap beban administratif, bukan bagian strategi.
Keterbatasan kapasitas dan kompetensi SDM dalam manajemen risiko.
Integrasi manajemen risiko ke seluruh sistem tata kelola dan proses bisnis yang sudah berjalan lama.
Perubahan lingkungan eksternal yang cepat (regulasi, teknologi, pasar) yang memerlukan adaptasi risiko.
Dokumentasi, pelaporan dan pemantauan risiko yang konsisten di seluruh unit/anak perusahaan BUMN.
Kunci keberhasilan
Komitmen top management: kepemimpinan dan komitmen adalah pondasi.
Integrasi risiko ke dalam tata kelola dan proses bisnis: bukan sekadar sistem paralel.
Kapasitas dan kompetensi yang memadai: pelatihan, sertifikasi, pembentukan tim manajemen risiko.
Struktur yang jelas dan fungsi yang terdefinisi: termasuk komite manajemen risiko, unit risiko, dan unit pengawas intern.
Kultur risiko yang mendukung: semua level organisasi memahami dan berpartisipasi dalam manajemen risiko.
Continuous improvement: pemantauan, evaluasi, dan perbaikan secara berkelanjutan agar sistem tetap relevan dengan perubahan.
Tabel Ringkasan: Penerapan ISO 31000 di BUMN
| Aspek | Strategis | Operasional |
|---|---|---|
| Lingkup Risiko | Sasaran jangka panjang, visi-misi, perubahan industri/regulasi | Proses bisnis sehari-hari, sistem, SDM, aset, layanan |
| Identifikasi | Risiko perubahan pasar, regulasi, reputasi | Risiko kegagalan sistem, kesalahan manusia, fraud, gangguan operasi |
| Analisis & Evaluasi | Dampak terhadap sasaran strategis, probabilitas pergeseran strategi | Dampak terhadap aktivitas operasional, reliabilitas, kualitas layanan |
| Penanganan | Mengubah strategi, diversifikasi bisnis, aliansi | Kontrol proses, automatisasi, pelatihan, pemulihan bencana |
| Pemantauan & Review | Review strategi, perubahan lingkungan makro | Monitor insiden operasional, KRI, audit internal |
| Keterkaitan | Operasional mendukung strategi; risiko operasional bisa memicu risiko strategis | Operasional sebagai ujung tombak pengelolaan risiko harian |
Faktor Khusus bagi BUMN yang Perlu Diperhatikan
Tata Kelola Terintegrasi
BUMN biasanya memiliki struktur yang kompleks: Direksi, Dewan Komisaris, Komite Audit, Komite Risiko, unit lini pertama, anak perusahaan, dan unit pengawas internal. Regulasi BUMN seperti PER-5/MBU/09/2022 dan pedoman teknis lainnya mengatur struktur tersebut secara spesifik. Maka penerapan ISO 31000 harus disesuaikan dengan struktur tata kelola BUMN agar manajemen risiko berjalan mulus.Public Service Obligation (PSO) dan Kewajiban Publik
Banyak BUMN yang punya kewajiban pelayanan publik (PSO) atau tanggung jawab sosial yang besar. Risiko-yang muncul tidak hanya terkait profit, tetapi juga keandalan layanan, kepatuhan sosial/regulasi, dan reputasi publik. Pendekatan manajemen risiko harus mencakup faktor-publik dan sosial ini.Regulasi dan Standar Khusus
Selain ISO 31000, BUMN juga harus memperhatikan standar nasional/adopsinya (SNI ISO 31000) serta regulasi seperti PerMen BUMN dan PerMen lainnya. Keberhasilan implementasi akan lebih kuat bila memadukan standar‐internasional dengan regulasi nasional/sektor publik.Portofolio dan Anak Perusahaan
Banyak BUMN memiliki anak perusahaan atau portofolio bisnis yang luas dan beragam. Pengelolaan risiko harus mencakup agregasi portofolio risiko dan taksonomi risiko kelompok BUMN. Dokumen teknis terkait taksonomi risiko portofolio telah diterbitkan oleh pihak terkait.Pelaporan dan Transparansi
Sebagai entitas publik atau negara, BUMN sering mendapat sorotan publik atau audit oleh lembaga pengawas. Oleh sebab itu, sistem manajemen risiko yang baik harus mencakup pelaporan yang transparan, dokumentasi lengkap, serta mekanisme audit dan review independen.
Penerapan ISO 31000 dalam pengelolaan risiko strategis dan operasional BUMN: kerangka, proses, manfaat, dan contoh kasus nyata bagi keberlanjutan organisasi.
FAQ (Pertanyaan yang Sering Diajukan)
1. Apakah penerapan ISO 31000 wajib bagi BUMN?
Tidak secara langsung berdasarkan standar ISO sendiri — ISO 31000 bersifat pedoman (guideline) dan bukan standar yang wajib disertifikasi. Namun bagi BUMN di Indonesia, regulasi seperti PerMen BUMN No. PER-5/MBU/09/2022 mensyaratkan penerapan manajemen risiko sistematis. Mengadopsi ISO 31000 akan sangat membantu pemenuhan regulasi tersebut.
2. Apa perbedaan antara risiko strategis dan operasional dalam BUMN?
– Risiko strategis berkaitan dengan sasaran jangka panjang, perubahan industri/regulasi, visi/misi organisasi.
– Risiko operasional lebih terkait aktivitas harian, proses bisnis, sistem, SDM, kontrol internal.
Keduanya saling berkaitan dan harus dikelola secara terpadu.
3. Berapa langkah yang harus dilakukan untuk mengimplementasikan ISO 31000?
Secara ringkas, langkah-utama meliputi: memahami konteks organisasi → menetapkan kerangka manajemen risiko → menetapkan proses risiko (identifikasi, analisis, evaluasi, penanganan) → pemantauan & review. Dengan adaptasi untuk BUMN sesuai regulasi dan struktur organisasi.
4. Bagaimana struktur organisasi manajemen risiko yang ideal di BUMN?
Struktur ideal dapat mengacu pada model tiga lini (three-lines model):
Lini pertama: unit operasional (risk owner)
Lini kedua: unit manajemen risiko / komite risiko
Lini ketiga: pengawas internal atau audit.
Struktur ini harus dikaitkan dengan dewan komisaris, direksi, dan komite tata kelola untuk memastikan integrasi dan pengendalian yang baik.
5. Bagaimana cara memastikan bahwa manajemen risiko berjalan secara berkelanjutan?
Kunci agar berjalan berkelanjutan:
Pemantauan dan review rutin terhadap risiko, kontrol, dan kerangka kerja.
Penggunaan indikator (KRI – Key Risk Indicators) dan pelaporan insiden.
Perbaikan sistem/kerangka sesuai perubahan lingkungan atau hasil review.
Budaya risiko yang hidup di seluruh organisasi.
6. Apakah ISO 31000 bisa diterapkan bersama standar lain seperti ISO 9001 atau ISO 37000?
Ya. ISO 31000 bersifat generik dan dapat diintegrasikan dengan sistem manajemen lainnya (misalnya mutu ISO 9001, tata kelola ISO 37000, kepatuhan ISO 37301). Hal ini sangat cocok bagi BUMN yang memiliki banyak sistem manajemen sekaligus.
7. Apakah ada contoh konkret BUMN Indonesia yang telah berhasil dengan penerapan ISO 31000?
Ya. Salah satu contoh adalah BUMN di sektor energi yang mulai menerapkan sistem manajemen risiko berbasis ISO 31000 sejak 2013 dan memperbarui pedoman risiko mereka pada 2024 untuk seluruh anak perusahaan.
Kesimpulan
Penerapan ISO 31000 dalam pengelolaan risiko strategis dan operasional di BUMN adalah langkah yang sangat penting dan relevan. Dengan mengadopsi prinsip, kerangka kerja, dan proses manajemen risiko sebagaimana diatur dalam ISO 31000, BUMN dapat:
Mengelola risiko secara lebih sistematis dan terintegrasi
Meningkatkan kemampuan menghadapi ketidakpastian lingkungan bisnis dan regulasi
Melindungi aset, reputasi dan keberlanjutan organisasi
Memenuhi regulasi BUMN nasional dan meningkatkan daya saing internasional
Bagi BUMN yang ingin memulai atau mengembangkan sistem manajemen risiko, fokus utama harus diberikan pada komitmen pimpinan, integrasi ke seluruh fungsi bisnis, kapasitas SDM, dan budaya risiko yang mendukung. Pengelolaan risiko strategis dan operasional tidak bisa dipisahkan — keduanya harus berjalan secara paralel dan saling menunjang.
Dengan demikian, artikel ini diharapkan menjadi panduan komprehensif sebagai konten pilar yang kuat untuk mendukung berbagai artikel turunan (yang akan membahas aspek-spesifik) terkait penerapan manajemen risiko ISO 31000 di BUMN.
Siapkan organisasi Anda untuk menjadi lebih tangguh, responsif terhadap risiko, dan unggul dalam tata kelola — mulai sekarang.
Mulai sekarang dan segera tingkatkan kapabilitas manajemen risiko organisasi Anda.
